MITRE ATT&CK® Enterprise マトリクス
ATT&CK v16 Enterpriseマトリクスの日本語対応表と解説です。マトリクスは攻撃者の戦術(横軸)とテクニック(縦軸)の対応関係を一覧化したもので、サイバー攻撃の全体像を俯瞰できます。
※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。
ATT&CK Enterprise マトリクスとは
MITRE ATT&CK® Enterprise マトリクスは、Windows・macOS・Linux・クラウド・ネットワーク・コンテナ環境を対象とした攻撃技術の体系的な分類表です。横軸に14の戦術(Tactics)、縦軸に各戦術に属するテクニック(Techniques)を配置し、攻撃者の行動パターンを構造化しています。
マトリクスの左端(Reconnaissance)から右端(Impact)に向かって、一般的な攻撃の進行方向を示しています。ただし、実際の攻撃では必ずしもすべての戦術を順番に通るわけではなく、攻撃者は状況に応じて戦術を選択・反復します。
マトリクスの構成要素
戦術(Tactics)— 攻撃者の「目的」
マトリクスの横軸(列)に並ぶ14の戦術は、攻撃者がサイバー攻撃の各段階で達成しようとする技術的な目的を表します。
テクニック(Techniques)— 攻撃者の「手段」
各戦術の列に配置されるテクニックは、その目的を達成するために攻撃者が実際に使用する具体的な手法です。ATT&CK v16 Enterpriseでは、約200のトップレベルテクニックと、さらに細分化された数百のサブテクニックが定義されています。
サブテクニック(Sub-techniques)— テクニックの詳細分類
テクニックの下位に位置する、より具体的な攻撃手法です。例えば、T1059(Command and Scripting Interpreter)のサブテクニックとして、T1059.001(PowerShell)、T1059.003(Windows Command Shell)などがあります。
14の戦術と代表テクニック
以下に、Enterprise マトリクスの14戦術と、各戦術の代表的なテクニックを一覧化します。
| 順序 | ID | 戦術名 | 技術数 | 代表的テクニック |
|---|---|---|---|---|
| 1 | TA0043 | Reconnaissance(偵察) | 10 | T1595 Active Scanning、T1592 Gather Victim Host Info |
| 2 | TA0042 | Resource Development(リソース開発) | 8 | T1583 Acquire Infrastructure、T1588 Obtain Capabilities |
| 3 | TA0001 | Initial Access(初期アクセス) | 10 | T1566 Phishing、T1190 Exploit Public-Facing App |
| 4 | TA0002 | Execution(実行) | 14 | T1059 Command and Scripting Interpreter、T1204 User Execution |
| 5 | TA0003 | Persistence(持続性) | 20 | T1547 Boot or Logon Autostart、T1053 Scheduled Task/Job |
| 6 | TA0004 | Privilege Escalation(権限昇格) | 14 | T1068 Exploitation for Priv Esc、T1134 Access Token Manipulation |
| 7 | TA0005 | Defense Evasion(防御回避) | 43 | T1027 Obfuscated Files、T1070 Indicator Removal、T1218 Proxy Execution |
| 8 | TA0006 | Credential Access(認証情報アクセス) | 17 | T1003 OS Credential Dumping、T1110 Brute Force |
| 9 | TA0007 | Discovery(探索) | 32 | T1082 System Info Discovery、T1016 Network Configuration Discovery |
| 10 | TA0008 | Lateral Movement(横展開) | 9 | T1021 Remote Services、T1570 Lateral Tool Transfer |
| 11 | TA0009 | Collection(収集) | 17 | T1005 Data from Local System、T1114 Email Collection |
| 12 | TA0011 | Command and Control(C2) | 17 | T1071 Application Layer Protocol、T1105 Ingress Tool Transfer |
| 13 | TA0010 | Exfiltration(持ち出し) | 9 | T1041 Exfiltration Over C2 Channel、T1567 Over Web Service |
| 14 | TA0040 | Impact(影響) | 14 | T1486 Data Encrypted for Impact、T1485 Data Destruction |
マトリクスの読み方
Enterprise マトリクスは、左から右への攻撃の進行を基本的な流れとして捉えますが、以下の点を理解しておくことが重要です。
攻撃チェーンとしての読み方
典型的な標的型攻撃(APT)は、以下のような流れでマトリクスの戦術を横断します。
- Reconnaissance(偵察):ターゲットの情報を収集
- Resource Development(リソース開発):攻撃用のインフラやツールを準備
- Initial Access(初期アクセス):フィッシング等でネットワークに侵入
- Execution(実行):マルウェアやスクリプトを実行
- Persistence(持続性):再起動後もアクセスを維持する仕掛けを設置
- Privilege Escalation(権限昇格):管理者権限を取得
- Defense Evasion(防御回避):セキュリティ製品の検知を回避
- Credential Access(認証情報アクセス):パスワードやハッシュを窃取
- Discovery(探索):環境情報を調査
- Lateral Movement(横展開):ネットワーク内の他のシステムに移動
- Collection(収集):目的のデータを収集
- Command and Control(C2):外部の指揮統制サーバーと通信
- Exfiltration(持ち出し):データを外部に送信
- Impact(影響):システムの破壊・暗号化・妨害
非線形の攻撃パターン
実際の攻撃では、すべての戦術を順番に実行するわけではありません。攻撃者は目的に応じて戦術をスキップしたり、反復したりします。例えば、ランサムウェア攻撃では、Credential Access → Lateral Movement → Collection のサイクルを繰り返し、最終的に Impact(データ暗号化)に至るケースがあります。
Enterprise マトリクスの対象環境
ATT&CK v16のEnterprise マトリクスは、以下のプラットフォームを対象としています。
| プラットフォーム | 概要 |
|---|---|
| Windows | 最もテクニック数が多いプラットフォーム。Active Directory、PowerShell、WMI等に関連するテクニックが豊富 |
| macOS | Launchd、AppleScript、Keychain等のmacOS固有の攻撃手法をカバー |
| Linux | Cron、Bash、SSH等のLinux環境における攻撃手法を定義 |
| Cloud(IaaS/SaaS) | AWS、Azure、GCP、Microsoft 365、Google Workspace等のクラウド環境を対象 |
| Network | ネットワーク機器(ルーター、スイッチ、ファイアウォール)を対象とした攻撃手法 |
| Containers | Docker、Kubernetes等のコンテナ環境を対象とした攻撃手法 |
他のマトリクスとの違い
ATT&CK® には Enterprise 以外にも以下のマトリクスがあります。
- Mobile マトリクス:iOS・Android環境を対象とした攻撃テクニック
- ICS マトリクス:産業制御システム(SCADA等)を対象とした攻撃テクニック
Enterprise マトリクスは、一般的な企業IT環境(エンドポイント・サーバー・クラウド)を対象としており、最も広く利用されているマトリクスです。
マトリクスの実務活用
検知カバレッジの評価
ATT&CK Navigator を使ってマトリクス上に自社の検知能力をマッピングし、カバレッジのギャップを特定します。自社のSIEM/EDRで検知可能なテクニックを色分けすることで、防御の弱点を視覚的に把握できます。
脅威グループの分析
ATT&CK® は主要なAPTグループごとに使用するテクニックを公開しています。自組織を標的とするグループのテクニックをマトリクス上に可視化し、防御の優先順位を決定します。
インシデント分析
インシデント発生時に観測されたIOC・アーティファクトをマトリクス上のテクニックにマッピングすることで、攻撃の進行段階を特定し、次に警戒すべきテクニックを予測できます。詳しくは実務ガイドをご覧ください。
ATT&CK Navigator で可視化する
ATT&CK Navigator(MITRE提供・無料)は、マトリクスをインタラクティブに操作できるWebツールです。
- テクニックの色分け・スコアリングによるカバレッジ可視化
- 複数レイヤーの重ね合わせ(自社検知 vs 脅威グループのTTP)
- JSON/SVG形式でのエクスポート・レポート作成
- チームメンバー間での共有・コラボレーション
関連ページ
- Tactics(戦術)一覧 — MITRE ATT&CK v16:14戦術の詳細解説
- Techniques(技術)一覧 — MITRE ATT&CK v16:全テクニックの索引
- 実務ガイド — MITRE ATT&CK活用:SOC・IR・CTI・レッドチームでの活用法
- T1059.001 PowerShell:最多悪用テクニックの詳細解説
参考資料:MITRE ATT&CK® Enterprise Matrix(公式) / ATT&CK Navigator
Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。